3. Hoe maak je een Bedrijfscontinuïteitsplan (BCP)?
Langdurige uitval van je primaire bedrijfsprocessen is onacceptabel voor de meeste bedrijven en organisaties. Een bedrijfscontinuïteitsplan (BCP) helpt om veerkrachtig te zijn bij onverwachte gebeurtenissen zoals stroomuitval, cyberincidenten en -aanvallen. Ook kun je met zo’n plan de impact van verstoringen op de bedrijfsvoering minimaliseren.
Wat is een BCP?
Een BCP is een document dat beschrijft hoe een bedrijf of organisatie omgaat met een ernstige verstoring of calamiteit. Het doel van een BCP is om personeel, vitale processen en primaire bedrijfsprocessen te beschermen en te zorgen dat deze blijven functioneren tijdens en na een incident. Daarom beschrijft het welke procedures en instructies er gevolgd moet worden om te kunnen blijven opereren tijdens een ernstige verstoring.
Maak een BCP in 5 stappen
De invulling van een businesscontinuïteitsplan kan per organisatie verschillen. Graag focussen we hier op digitale bedrijfsprocessen. Zonder IT- en OT-systemen vallen veel bedrijfsprocessen stil. Daarom zal de cyberbeveiliging van je IT en OT een belangrijk aandeel hebben in een BCP. Maar een goed BCP bevat ook andere onderdelen.
Stap 1 - Risicoanalyse als startpunt
De basis van een BCP is het uitvoeren van een risicoanalyse. Je brengt ermee in kaart welke gebeurtenissen jouw bedrijf kunnen raken en ernstig kunnen verstoren. Dat zijn naast digitale risico's ook risico's voor werkplek en medewerkers. Volg het stappenplan voor een risicoanalyse want deze analyse helpt je om de inhoud, prioriteiten en omvang van je BCP te definiëren.
Stap 2 - Business Impact Analyse (BIA)
Nu je de mogelijke verstoringen geïnventariseerd hebt, rangschik je ze op prioriteit. Welke schade brengen de geprioriteerde risico's teweeg? Welke onderdelen van je bedrijf worden geraakt? In de Business Impact Analyse (BIA) beschrijf je de impact op je organisatie. Deze analyse helpt je om te achterhalen welke processen voor jouw organisatie vitaal of primair zijn. Ook maakt het helder wat er gebeurt als deze processen langere tijd uitvallen. Daarmee is de BIA een belangrijk onderdeel van je BCP. Bekijk uit welke informatie en berekeningen een BIA bestaat.
Stap 3 - Raamwerk BCP
Met de risicoanalyse en de business impact analyse heb je grondig voorbereidend werk gedaan voor het opstellen van je BCP. Je weet nu op welke verstoringen je de focus wilt leggen. En je weet welke te beschermen of kwetsbare bedrijfsonderdelen aandacht verdienen. Maak alvast een raamwerk voor je BCP. Het plan bevat meestal de volgende onderdelen:
- Doel en reikwijdte
Het helpt om eerst scenario's van uitval te bedenken. Deze bieden ook houvast voor de reikwijdte. Mogelijke scenario’s zijn uitval van elektriciteit, uitval door extreem weer, uitval van toegang tot locatie en uitval door een cybercrisis, of -aanval. - Activatie en deactivatie
Beschrijf de voorwaarden voor het activeren van het BCP. Wanneer treedt het plan in werking? Bepaal daarnaast ook wanneer de BCP-processen weer gedeactiveerd kunnen worden. - Incident Response Plan
Beschrijf wie welke rol, taak en verantwoordelijkheid heeft in een Incident Response Plan. Weten de betrokken medewerkers en dienstverleners wat hun rol en taak is bij een verstoring? Er moet een procedure zijn voor het beheren en gebruiken van informatie die van het Nationale CSIRT of sectorale CSIRT of andere bevoegde autoriteit is ontvangen over incidenten, kwetsbaarheden, bedreigingen en beveiligingscontroles. - Interne en externe communicatie (crisismanagment)
Breng de belangrijkste contacten en communicatiekanalen en -middelen die je inzet in kaart. Vergeet niet te beschrijven hoe de verplichte communicatie met bevoegde autoriteiten verloopt. Te denken valt aan een incidentmelding of het melden van een datalek. Bekijk de aandachtspunten crisiscommunicatie van het NCSC en voeg dit plan tot aan je BCP. - Effectiviteit en herziening
Beschrijf dat en hoe je het BCP periodiek toetst op effectiviteit. Wanneer er veranderingen in de organisatie zijn, of veranderingen in het dreigingsbeeld of de geinventariseerde risico's, herzie dan het BCP. Neem de veranderingen en testresultaten van de toetsing op in de herziene versie van het BCP.
Stap 4 - Back-up of redundantieplan
Waar kun je op terugvallen als er een ernstige verstoring is? Een back-up plan beschrijft hoe vaak je van een belangrijk systeem een back-up maakt, op welke locaties je het veilig bewaart en wanneer je een back-up test. Een redundantieplan beschrijft welke extra componenten of systemen je gaat gebruiken als vervanging van uitgevallen systemen of processen.
Stap 5 - Een uitwijk- en herstelplan
Een uitwijk- en herstelplan wordt ook wel een “Disaster Recovery Plan” (DRP) genoemd. Het beschrijft de procedures om de uitwijk- en fallbackvoorziening in gebruik te nemen. Het bevat ook informatie over het terugkeren naar de normale situatie. Een DRP focust vooral op het herstellen van de IT-processen. Het is vooral technisch van aard en beschrijft de werkwijze bij verstoringen van netwerken, servers en apparaten. Gebruik indien nodig het template Uitwijk- en herstelplan als hulpmiddel.
NIS2-zorgplicht
In de Europese NIS2-richtlijn worden zorgplichtmaatregelen vereist voor de bedrijfscontinuïteit, zoals back-upbeheer, plannen voor noodvoorzieningen en crisisbeheer. Dit staat in artikel 21 lid 2 sub c.
Bereid je voor op de NIS2
Voor de voorbereiding op de Cyberbeveiligingswet die voortkomt uit de NIS2-richtlijn, vind je hier suggesties, handvatten en aandachtspunten. Omdat de zorgplichtmaatregelen nog niet zijn uitgewerkt in de regelgeving, baseren we de suggesties, tips en handreikingen op wat er gangbaar is in de cybersecuritypraktijk. Het uitvoeren of volgen ervan vergroot de cyberweerbaarheid van je organisatie, maar het is geen garantie dat je organisatie al voldoet aan komende wetgeving.
Hoogovenrenovatiebedrijf scherpt back-upplan aan na ransomware
De ransomware is waarschijnlijk op de server gekomen doordat een medewerker een mail van een bekende afzender opende, met daarin een link naar een WeTransfer-download. Al snel volgde de ransomware-eis. Pirson Refractories maakt vuurvaste bekleding van installaties in de olie- staal- en petrochemische industrie. Het bedrijf had gelukkig een goed back-upplan. Toch heeft Pirson na het voorval het IT-beleid op verschillende punten aangepast.
NIS2-richtlijn voor digitale en economische weerbaarheid
NIS2-bedrijf? Start alvast met de voorbereiding op de NIS2 en ga aan de slag met de 10 zorgplichtmaatregelen uit de Europese NIS2-richtlijn. Bescherm zo je netwerk- en IT-systemen.
Maritieme dienstverlener valt terug op een oud IT-systeem na hack
Na een cyberaanval vielen alle systemen van Royal Dirkzwager uit. Ook de geavanceerde monitoringssystemen die het scheepvaart verkeer in de gaten houden zodat olieplatforms in de Noordzee veilig zijn. Qua redundantie was er gelukkig een oud IT-systeem waar Royal Dirkzwager op terug kon vallen. “DataDirk is een systeem dat gebouwd is in 1983. Dat systeem is gelukkig blijven draaien, want het werkt volledig offline. Hiermee hebben we toch nog scheepvaartverkeer kunnen registreren en dit telefonisch met klanten gedeeld.”
Afspraken maken met IT-dienstverlener(s)
Het is belangrijk om goede afspraken te maken met je externe dienstverlener(s) over het onderhoud en de beveiliging van de diensten die je afneemt. Je wil immers zeker weten dat je systemen en applicaties voldoende beveiligd zijn. Deze afspraken leg je vooraf vast in een zogenoemde Service Level Agreement (SLA). Dit is een overeenkomst tussen een aanbieder en een afnemer van een product of dienst. Een SLA bevat specifieke afspraken zoals de duur van de overeenkomst, de kenmerken van het product of de dienst, informatie over risico's, beveiliging en wat er gebeurt als er een geschil is.
Elk bedrijf heeft eigen specifieke wensen. Daarom moeten er duidelijke afspraken gemaakt worden over de producten en diensten die je afneemt en onder welke voorwaarden je dat doet. Het moet bijvoorbeeld duidelijk zijn wie verantwoordelijk is voor het uitvoeren van onderhoud, of er periodiek controles worden gedaan op kwetsbaarheden en of je data regelmatig geback-upt worden. Deze checklist helpt bij het opstellen van een SLA met je IT-leverancier.
Met betrekking tot BCP kan een SLA een set van afspraken bevatten over hoe lang een bedrijfsproces of functie niet beschikbaar mag blijven bij een verstoring en wat de betrokkenheid van elke partij is. Via de BIA zal een organisatie de downtime schatten die acceptabel is voor een bepaald proces of functie. De afspraken over downtime kunnen worden vastgesteld in een SLA. Daarom is het van belang om in gesprek te gaan en blijven met jouw IT-dienstverlener en om stil te staan bij gemaakte of nog te maken afspraken. Zorg dat deze afspraken ook staan vastgelegd in bijvoorbeeld een SLA.
Heb je inzichtelijk van welke IT-dienstverleners je organisatie qua bedrijfscontinuïteit afhankelijk is? Zijn er nog geen afspraken vastgelegd en wil je dit snel gaan doen? Gebruik dan Gesprek met je IT-dienstverlener als hulpmiddel.
De gevolgen van een verstoring, uitval, datalek of cyberaanval kunnen ernstig zijn. Daarom wil je bij een incident adequaat reageren om negatieve gevolgen te beperken. Een Incident Response Plan (IRP) helpt je organisatie hierbij. Incident response is het proces van het beheer en mitigatie.
Een organisatie die cyberweerbaarder wil worden, raden we aan om te beginnen met het uitvoeren van een risicoanalyse. Een tweede grote sprong maakt een organisatie wanneer het basispraktijken op het gebied van cyberhygiëne implementeert. Ook het opleiden van werknemers is belangrijk voor de weerbaarheid.
Veel bedrijven en organisaties gebruiken netwerk- en informatiesystemen voor hun primaire bedrijfsprocessen. Dat maakt organisaties afhankelijk van deze systemen. Beleid en procedures over hoe er wordt omgegaan met de systemen, zorgen voor inzicht in de risico’s.